Best practices voor 802.1x bekabelde omgevingen in de Wyse Management Suite

Betreffende producten:

• Wyse Management Suite

Betreffende platforms:

• OptiPlex 3000 Thin Client
• OptiPlex 5400 All-in-One
• OptiPlex All-in-One 7410
• OptiPlex All-in-One 7420
• Latitude 3420
• Latitude 3440
• Latitude 5440
• Latitude 5450
• Wyse 5070 Thin Client
• Wyse 5470 alles-in-één thin client
• Wyse 5470 Mobile Thin Client

Betreffende besturingssystemen:

• Dell ThinOS

Het implementeren van eindpunten in een bekabelde 802.1x-omgeving kan een uitdaging zijn, omdat certificaten vaak vereist zijn om een succesvolle EAP-onderhandeling te voltooien. Dit wordt verder gecompliceerd bij het gebruik van ThinOS, omdat bij het terugzetten naar de fabrieksinstellingen alle data in de versleutelde NVR-deelname worden gewist, inclusief door de klant geïnstalleerde certificaten. Hieronder vindt u een aanbevolen strategie voor het automatisch implementeren of configureren van ThinOS-clients in een 802.1x bekabelde omgeving.

Installatie - Configuratie van klantomgeving

De vermelde apparaten moeten zo worden geconfigureerd dat ze het volgende gedrag vertonen:

• SWITCH - Als u een Cisco- of andere switch gebruikt, moet een veilige en onveilige vLAN worden geconfigureerd. Als de client niet beschikt over de vereiste certificaten of configuraties die nodig zijn om de EAP-onderhandeling te voltooien en aan het beveiligde vLAN te koppelen, moet de switch de route naar een onbeveiligd vLAN koppelen.
• WMS-server : klanten moeten ervoor zorgen dat hun WMS-servers toegankelijk zijn vanaf zowel het beveiligde als het onbeveiligde vLAN. Als de klant een onsite in plaats van een public cloud-installatie gebruikt, kan de klant ervoor kiezen om twee WMS-servers in te stellen.

• DHCP- en DNS-configuraties : op zowel het beveiligde als het onbeveiligde vLAN moeten klanten de configuraties inschakelen die vereist zijn (DHCP-opties of DNS-records) waarmee ThinOS kan worden gekoppeld aan de WMS-server en registratiegroep.

Workflow - Standaardgedrag in de fabrieksinstellingen

1. Wanneer een ThinOS-client voor het eerst wordt ingeschakeld of nadat de fabrieksinstellingen zijn hersteld, wordt deze opgestart
2. 802.1x EAP-onderhandeling mislukt (geen configuratie of certificaten)
3. Switch leidt ThinOS naar een onbeveiligd vLAN.
4. ThinOS voltooit DHCP en verkrijgt WMS-informatie uit omgevingsvariabelen (DHCP-opties, DNS-records).
5. ThinOS is gekoppeld aan de WMS-server en registratiegroep en haalt 802.1x-configuraties en de certificaten op die nodig zijn om aan het beveiligde vLAN te worden gekoppeld
6. ThinOS wordt opnieuw opgestart
7. 802.1x EAP-onderhandelingen geslaagd.
8. ThinOS voltooit DHCP en verkrijgt WMS-informatie uit omgevingsvariabelen (DHCP-opties, DNS-records).
9. ThinOS is gekoppeld aan de WMS-server en registratiegroep en haalt volledige clientconfiguraties en alle vereiste servercertificaten op
10. Het proces is voltooid.
    
    Opmerking: Simple Certificate Enrollment Protocol (SCEP) kan in dit proces worden geïntegreerd, maar voor automatische implementatie moet de SCEP-server aanwezig zijn op zowel het beveiligde als het onbeveiligde vLAN.

SCEP-instellingen voor ThinOS 9.x WMS-groepsconfiguratie

Wyse Management Suite voor SCEP configureren bij gebruik van ThinOS 9.x:

1. Stel Automatische inschrijving inschakelen in op Aan.
2. Stel desgewenst Automatisch verlengen inschakelen in op Aan.
3. Stel Selecteer CA-certificaat installeren in op Aan.
4. Voer een landnaam in.
5. Bevolking van een staat.
6. Voer eventueel een Locatie in.
7. Voer eventueel een Organization in.
8. Vul eventueel een organisatie-eenheid in.
9. Voer eventueel een e-mailadres in.
10. Selecteer een sleutelgebruik van digitale handtekening en sleutelcodering.
11. Selecteer de toetslengte.
12. Voer eventueel een Sub Alt Name in.
13. Voer een algemene naam in.
14. Voer een aanvraag-URL in.
15. Selecteer een CA-certificaat-hashtype.
16. Vul de CA Certificate Hash in.
17. Vul eventueel een Registratiewachtwoord in.
18. Voer de Administrator-URL in.
19. U kunt ook Controle servercertificaat negeren instellen op Aan.
20. Geef de Admin User op.
21. Voer het Admin-gebruikerswachtwoord in.
22. Geef het Admin-gebruikersdomein op.
    
    Opmerking:

    • De afbeelding toont $TN_Machine.local als voorbeeld van een algemene naam. $TN is een systeemomgevingsvariabele voor ThinOS. $TN voegt de terminalnaam in de machinecertificering in als alternatief $SN ook kan worden gebruikt; hiermee wordt de servicetag toegevoegd aan de certificaatnaam.
    • De aanvraag-URL moet een pad naar de SCEP-server in uw omgeving bieden.
    • De hashwaarde van het CA-certificaat is te vinden op de pagina [SCEPSERVER]/CertSrv/MSCEP_admin/.
    • De beheerders-URL is de pagina [SCEPSERVER]/CertSrv/MSCEP_admin/.
    • De Administrator is het SCEP-serviceaccount.

ThinOS 9.x 802.1x bekabelde omgevingsinstellingen WMS-groepsconfiguratie

In WMS:

1. Selecteer Geavanceerde>netwerkconfiguratie>Ethernet-instellingen>802.1X authenticatie-instellingen>Rij toevoegen
2. Selecteer de gewenste EAP type > EAP-TLS
3. Voer de juiste bestandsnaam voor clientcertificaten in
4. Selecteer clientcertificaattype , gebruiker of machine (meestal aan het apparaat)
   • Servernaam is optioneel (de Radius-servernaam moet worden gebruikt)
   • De opties Server valideren en Server controleren moeten worden ingeschakeld voor de validatie van de servernaam.
      
     Opmerking:

     • Bestandsnaam clientcertificaat moet volgende bevatten: scep_cert_ als .crt
     • Als gegevens verkeerd zijn ingevoerd, is inloggen niet mogelijk.